“殺手13”病毒

此病毒可以在Windows 2000、Windows XP等作業系統環境下正常運行。它運行時會將自身寫入系統目錄及資源回收筒，並通過修改註冊表進行自啟動，同時在區域網路進行瘋狂傳播，建立多個執行緒，幹掉已知的反病毒軟體，並用NET命令打開區域網路上計算機的後門。12月13日，病毒爆發時，還會給被感染的計算機帶來毀滅性的攻擊：刪除C糟全部目錄和所有檔案！

如果用戶發現計算機中有這些特徵，則很有可能中了此病毒。

一、病毒會將自己複製到系統目錄以及資源回收筒並命名為Killonce.exe

二、病毒運行時會在註冊表中的：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項中加入鍵值為：Killonce ，內容為：C:\WINNT\SYSTEM32\KillOnce.exe 的自啟動鍵。

三、如果中毒後用戶運行regedit.exe,msconfig.exe等工具時，會出現標題為：“非法用戶”，內容為：“你無權執行該檔案” 的提示框。

四、如果“我的文檔”目錄中存在*.doc檔案，病毒則會將把自己複製到該目錄，命名為：RICHED20.DLL和SHDOCVW.DLL。

五、病毒會在管理組中建立一個GUEST用戶，並將此用戶賬號的訪問許可權提高到管理員的許可權，並在系統中留下後門。

六、當12月13日時，病毒會在autoexec.bat檔案中加入deltree /y c:\*.*的命令。

用戶如果在自己的計算機中發現以上全部或部分現象，則很有可能中了“殺手13（Worm.KillOnce）”病毒，用戶可以將病毒檔案直接刪除、將註冊表中的病毒鍵值刪除，來消除病毒的影響，如果用戶對註冊表不太熟悉的話，也可以到瑞星網站下載註冊表清除工具，最好還是用瑞星防毒軟體2003版的最新版本進行徹底清除。

為避免遭受損失，眾網友應儘快升級自己的防毒軟體，瑞星防毒軟體15.09以上的版本能自動截獲並清除此病毒。

病毒程式的圖示為windows瀏覽器的圖示，有很大迷惑性。

它將自己複製到系統目錄及資源回收筒目錄檔案名稱為Killonce.exe

%WINDOWS%\killonce.exe 是病毒，駐留系統

%WINDOWS%\Rundll32.exe 是病毒，替換系統檔案

%RECYCLED%\killonce.exe 是病毒，隱藏到資源回收筒

在註冊表中添加以下鍵：

1） HKCR\txtfile\shell\open\command\ ：

%WINDOWS%\KillOnce.exe %1

用戶打開txt檔案時，會激活病毒。

2）HKCR\exefile\shell\open\command\ :

%WINDOWS%\KILLONCE.EXE "%1" %*

HKLM\software\classes\exefile\shell\open\command\ :

%WINDOWS%\KILLONCE.EXE "%1" %*

目的有兩個，一是雙擊exe檔案時，會激活病毒。二是阻止用戶運行REGEDIT.EXE,MSCONFIG.EXE。如果運行 REGEDIT.EXE,MSCONFIG.EXE，病毒會禁止程式的運行，並彈出對話框，顯示：“你無權執行該檔案!”

3）HKLM\software\Microsoft\Windows\CurrentVersion\Run\:

KillOnce : %WINDOWS%\KILLONCE.EXE "%1" %*

作用是隨WINDWOS啟動而自動啟動。

病毒遍曆本地硬碟和區域網路。

1．如果目錄有.DOC檔案，則釋放RICHED20.DLL，是病毒，當用戶打開當前目錄下的DOC檔案時，病毒被激活。

2.如果目錄有.HTM檔案，則釋放SHDOCVW.DLL， 是病毒。當用戶打開當前目錄下的HTM檔案時，病毒被激活。

3.如果網路已分享資料夾是可寫的，則試圖在該目錄下創建一個email檔案。該郵件利用系統的IE漏洞，打開或預覽時會自動執行附屬檔案（病毒體）。

病毒枚舉進程，如果進程明中包含KV、 AV、 LOAD 字元串 ，病毒不僅終止該進程，還會刪除相應檔案。

執行命令 “Net.Exe LocalGroup Administrators Guest /Add”，把Guest用戶許可權提升為管理員許可權。刪除HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\下所有鍵。然後添加新的鍵，以將C到K之間的硬碟盤符完全共享，共享名稱為CX、DX、EX、......、KX。

如果系統時間是12月13日，則在C:\AUTOEXEC.BAT 中寫入

“ DELTREE /Y C:\*.*”，當系統再次啟動時，C糟上的所有檔案將被刪除。

如果本地計算機名稱以 WANG 開頭，不會共享本地硬碟，只是進行傳播。

該病毒中包含關於郵件的代碼。估計以後的版本會通過郵件傳播。郵件中包含一個附屬檔案：EXPLORER.EXE ,其實是該病毒。郵件利用Outlook的漏洞，自動執行附屬檔案。

12月13日將刪除C糟全部檔案的“殺手13”病毒

--------------------------------------------------------------------------------

病毒類型：蠕蟲病毒

發作時間：隨機

傳播方式：網路/郵件

感染對象：網路

警惕程度：★★★★

於11月14日下午被瑞星首次截獲的一個極度危險的惡性蠕蟲病毒--“殺手13”。這個病毒構思巧妙、功能設定完備、潛伏和傳染能力極強、並具備對抗反病毒軟體的能力，是今年截獲的又一個“智慧型型”惡性病毒，也是今年發現的最具“殺傷力”的惡性病毒。

一、藏身系統目錄與資源回收筒

病毒一旦感染計算機，便將自己複製到系統目錄以及資源回收筒並命名為Killonce.exe。

二、加入註冊表中的自啟動項

病毒運行時會在註冊表中的：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項中加入鍵值為：Killonce ，內容為：C:\WINNT\SYSTEM32\KillOnce.exe ，以達到自啟動的目的。

三、使用戶無法使用註冊表相關工具

當中毒後，病毒會通過修改exefile,txtfile的open\command方式，使用戶無法使用Regedit.exe與Msconfig.exe註冊表相關工具.如果中毒後用戶運行regedit.exe,msconfig.exe等工具時，病毒會截獲並提示：“非法用戶，你無權執行該檔案”。

四、利用WORD載入自己

病毒通過讀取註冊表得系統當前用戶的“我的文檔”目錄，如果此目錄里存在*.doc檔案，則病毒會將把自己複製到該目錄，命名為：RICHED20.DLL SHDOCVW.DLL，當WORD打開這些文檔時，便會將這兩個病毒檔案載入到記憶體中。

五、共享系統盤，對抗反病毒軟體

當病毒進入記憶體後，便將系統盤設為共享，使區域網路內的其他用戶可以輕易修改該用戶的系統設定，並竊取其機密文。病毒還會生成多執行緒，其中一個執行緒休眠200毫秒就遍歷一次系統進程列表，如果找到它可以識別的反病毒軟體的進程便將之殺掉，使這些防毒軟體失效。

六、生成病毒郵件，區域網路傳播。

病毒還會進行瘋狂區域網路傳播，病毒會遍曆局域網，將自己複製到網內共享可寫目錄，並在此目錄下生成一個可以自啟動的病毒郵件，使用戶中招。

七、利用NET命令給系統開後門

病毒會每隔1分鐘便運行“net.exe localgroup administrators guest /add”命令一次，將普通用戶（guest）賬號的訪問許可權提高到管理員的許可權，並在系統中留下後門。

八、展開最終攻擊，破壞硬碟

在進行周密的布置後，當12月13日到來時，病毒會在autoexec.bat檔案中加入deltree /y c:\*.*的命令，當用戶重啟計算機時，便將用戶C糟的所有內容全部刪除

快速解毒秘訣：

(1)病毒會將自己複製到系統目錄以及資源回收筒並命名為Killonce.exe 可以直接將這個病毒檔案刪除。

(2)病毒運行時會在註冊表中的：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項 中加入鍵值為：Killonce ，內容為：C:\WINNT\SYSTEM32\KillOnce.exe 的自啟動鍵。可以直接將此註冊表鍵值刪除。

(3)如果中毒後用戶運行regedit.exe,msconfig.exe等工具時，會出現標題為：“非法用戶”，內容為：你無權執行該檔案”的提示框。如果出現此信息，則說明中了“殺手13”病毒。

(4)如果“我的文檔”目錄中存在*.doc檔案，病毒則會將把自己複製到該目錄，命名為：RICHED20.DLL、SHDOCVW.DLL。可以直接將這兩個病毒檔案刪除。

(5)病毒會在管理組中建立一個GUEST用戶，並將此用戶賬號的訪問許可權提高到管理員的許可權，並在系統中留下後門。網管員可以據此判斷是否中了“殺手13”病毒。

(6)當12月13日時，病毒會在autoexec.bat檔案中加入deltree /y c:\*.*的命令。可以直接將autoexec.bat中的以上內容直接刪除。